提供管理层承诺的证据
ISO27001认证审核员希望看到表明这一条款的要求得到了满足的证据。通常的做法是通过和首席执行官或其他对整体业务负责的执行人员进行面谈,以及审查记录 (这些记录如会议记录,议程表等,其中就包含管理层对政策进行了辩论、达成了一致协议、进行了检查和
并且测定了改进目标)。至关重要的是,管理层必须决定 可接受风险的准则和水平,这是一个关键步骤,没有它的话,从整个 ISMS 的制定到部署控制所依据的风险评估过程不能得到进行。
管理相关的控制措施
附录 A特定指出管理参与的一些控制措施。它们的详细编号如下:
* A.5.1.1 信息安全策略文档,必需得到管理层的批准
* A.6.1.1 对信息安全的管理承诺; 管理部门必须通过―指明方向,明确承诺,明确任务,以及承担信息安全责任‖来积极地支持。承诺的主要表现包括:信息安全政策,建立和扩展 ISO27001项目组,协调信息安全的活动,以及分配信息安全的责任。
* A.6.1.4 授权信息处理设施的流程;其中一定要有一个管理程序,以授权新的信息处理设施
* A.8.2.1 管理责任;这项控制规定管理层 ―应要求员工,承包商和第三方用户遵守和应用组织既定的安全政策和程序。
* A.10.1.3 职责分离;在考虑责任的分配时必须考虑这项重要的要求
* A.11.2.4 进行用户访问权限审查;这个控制要求管理层应当使用正式的程序定期审查用户的访问权限
* A.15.1.2 对信息安全策略和标准的遵从;这项控制明确从各个管理层级延伸管理职责,要求管理人员―确保在其责任区内的所有安全程序得到正确地执行,以实现对安全政策和标准的遵从。
管理评审的要求
除了控制要求,标准在第7条(ISMS 的管理审查)中提到,―管理层应该在计划的时间间隔内,审查组织的 ISMS,以确保其持续活动的适宜性,充分性和有效性。
这一节清楚地界定了所需的(至少每年一次的)输入审查过程;以及包括从所有组织的监督和审查活动中得到的产出。
管理审查的输出应形成文件,并应得到贯彻执行,它应带来稳定和持续不断的 ISMS 改善。
一个经过 ISO27001认证的 ISMS 在认证有效期内将定期得到审查,这些审查将集中考察组织和它的管理层如何推动了持续改进的过程。
信息安全管理体系实践 Information Security Management Systems Best Practice